Adobe Flash Player の Primetime SDK における Use-After-Free の脆弱性(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.18(木)

Adobe Flash Player の Primetime SDK における Use-After-Free の脆弱性(Scan Tech Report)

Adobe Flash Player に含まれている SDK に、ポインタ制御の不備が報告されています。

脆弱性と脅威 エクスプロイト
◆概要

Adobe Flash Player に含まれている SDK に、ポインタ制御の不備が報告されています。攻撃者が作成した悪意のある SWF ファイルに、脆弱性が存在する Adobe Flash Player が有効化された Web ブラウザでアクセスした場合に、悪意のあるコードが実行されてしまい、端末の制御を奪われてしまう可能性があります。脆弱性が修正されたバージョンが公開されているため、アップデートを適用して脆弱性に対応してください。

◆分析者コメント

クライアントサイドの脆弱性では、ここ数ヶ月にエクスプロイトコードが公開された数式エディタの脆弱性 (CVE-2018-0802、CVE-2017-11882) などが公開されています。当該脆弱性は Adobe Flash Player が有効化されているブラウザに対して幅広く悪用可能な脆弱性であるため、攻撃者による標的型攻撃キャンペーン活動に積極的に悪用する可能性が高い脆弱性です。脆弱性が修正された Adobe Flash Player にアップデートすることにより早急に対策してください。

◆深刻度(CVSS)

[CVSS v2]
7.5
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2018-4878&vector=(AV:N/AC:L/Au:N/C:P/I:P/A:P)

[CVSS v3]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2018-4878&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

◆影響を受けるソフトウェア

Adobe Flash Player のバージョン 28.0.0.137 以下が当該脆弱性の影響を受けます。

◆解説

Adobe Flash Player に、遠隔から任意のコードが実行可能となる脆弱性が公開されています。

《株式会社ラック サイバー・グリッド研究所》

関連記事

PageTop

特集

アクセスランキング

  1. 朝日新聞のサイバー事件報道姿勢 - 記者が語る「伊勢志摩サミット」「ポケドラ」「SkySEA Client View」

    朝日新聞のサイバー事件報道姿勢 - 記者が語る「伊勢志摩サミット」「ポケドラ」「SkySEA Client View」

  2. 件名と本文に本当のパスワードを記載、仮想通貨を要求するメール確認(JPCERT/CC)

    件名と本文に本当のパスワードを記載、仮想通貨を要求するメール確認(JPCERT/CC)

  3. 根拠なき安心へ突きつける不吉な答え - 書評「原発サイバートラップ」

    根拠なき安心へ突きつける不吉な答え - 書評「原発サイバートラップ」

  4. 「FileZen」にリモートからOSコマンドを実行される脆弱性(JVN)

    「FileZen」にリモートからOSコマンドを実行される脆弱性(JVN)

  5. 「Chrome 70」警告対象証明書、9割対応済み(デジサート・ジャパン)

    「Chrome 70」警告対象証明書、9割対応済み(デジサート・ジャパン)

  6. 特定のメッセージでPS4が動作不能に陥るグリッチを確認

    特定のメッセージでPS4が動作不能に陥るグリッチを確認

  7. 走る SOC「IBM X-Force C-TOC 」公開、インシデント対応能力強化(IBM)

    走る SOC「IBM X-Force C-TOC 」公開、インシデント対応能力強化(IBM)

  8. Mirai ボットマスターが禁固刑免れる、FBI 大絶賛の「社会奉仕」活動(The Register)

    Mirai ボットマスターが禁固刑免れる、FBI 大絶賛の「社会奉仕」活動(The Register)

  9. インシデント報告件数、「フィッシングサイト」が「スキャン」を上回る(JPCERT/CC)

    インシデント報告件数、「フィッシングサイト」が「スキャン」を上回る(JPCERT/CC)

  10. サイバー諜報の参入障壁低下、ある国家支援アクターが採った「地産地消」戦略とは(The Register)

    サイバー諜報の参入障壁低下、ある国家支援アクターが採った「地産地消」戦略とは(The Register)

ランキングをもっと見る